Szacowanie ryzyka
Aktywa firmy, które powinniśmy chronić – czyli analiza ryzyka.
Zagadnienie jest złożone, więc poniżej przedstawione w kilku pytaniach:
Które z naszych dóbr możemy zakwalifikować, jako aktywa?
Czy wszystkie aktywa musimy (chcemy) chronić i przed czym?
Jak obecnie je chronimy?
Jakie zagrożenia czyhają na nasze aktywa?
Jaki skutek może spowodować zmaterializowanie się zagrożenia?
Czy musimy zwiększyć obecny poziom zabezpieczeń aktywów?
Wiadomą jest rzeczą, iż ogólne odpowiedzi na powyższe pytania mogą być znane w firmie jeszcze przed wykonaniem szacowania ryzyka i z grubsza rzecz ujmując wiemy, co mamy i przed czym powinniśmy to chronić. Z tą jednak różnicą, iż wiedza ta, nie jest skompensowana w jednym zatwierdzonym dokumencie, co może wskazywać na niski poziom jej integralności i wiarygodności.
Aktywa organizacji podczas jej działalności narażone są na szereg zagrożeń, wskutek których może dojść do zakłócenia prawidłowego funkcjonowania jednego procesu lub też w skrajnym przypadku – całej organizacji.
Nie ma doskonałej recepty na uniknięcie istnienia zagrożenia – wyeliminowanie go do zera jest po prostu niemożliwe. Dlatego oswójmy się z tym faktem i nie traćmy energii na zbyteczną walkę. Nasz wysiłek skierujmy raczej na przewidywanie skutków, jakie mogą wystąpić w przypadku, gdy zagrożenie wystąpi, a nasze zabezpieczenia okażą się zbyt słabe.
Najprostszym przykładem niepożądanego stanu jest brak dostępu do informacji (danych) w momencie, kiedy są nam niezbędne, np.: do podjęcia szybkiej decyzji. W takim momencie nie jest ważne, z jakiego powodu ten dostęp jest niemożliwy, czy to awaria systemu informatycznego, zwykłe zagubienie dokumentu, czy też nieobecność kluczowego dla sprawy pracownika – skutek jest jednakowy brak dostępu do konkretnej informacji.
Aby minimalizować i/lub zapobiegać takim zdarzeniom, należy poświęcić trochę czasu oraz zaangażować odpowiednie zasoby ludzkie do opracowania tzw. analizy ryzyka tj. korelacji znaczenia aktywu; zagrożenia – jakie nań czyhają; podatności, które „pomagają” zmaterializować się zagrożeniom osiągnąć niepożądany skutek; oraz poziomu zabezpieczeń, jakimi dysponujemy w danej chwili. Najogólniej mówiąc i nie powołując się przy tym na żadną z metod jej wykonywania – chodzi o:
- zinwentaryzowanie aktywów posiadających jakąkolwiek wartość dla firmy i przypisanie odpowiedzialności za nie konkretnym obszarom lub też pracownikom;
- określenie znaczenia tych aktywów dla firmy od najbardziej znaczącego do takiego, które ma znikomy wpływ na jej funkcjonowanie;
- wskazanie zagrożeń, jakie czyhają na poufność, integralność i dostępność każdego aktywu;
- wskazanie podatności, jakie zwiększają wystąpienie zagrożenia;
- oszacowanie poziomu zabezpieczeń, jakimi obecnie dysponujemy w celu niedopuszczenia do opisanych wyżej skutków;
- wskazanie, (jeżeli jest to znane) sytuacji, w jakiej znajdzie się firma po zmaterializowaniu się danego zagrożenia.
Nie w każdej organizacji należy (przynajmniej na początku) sięgać po bardzo rozbudowane metodologie służące analizowaniu ryzyka. Faktycznie wiele narzędzi posiada rozbudowaną opcję marketingową w postaci mnogości kolorowych wykresów, raportów itd. Nie zawsze o to chodzi. Ja wskazywałbym w pierwszej kolejności na zrozumienie zasad wykonywania i odczytywania wyników przez osoby zaangażowane w ten proces oraz osoby decyzyjne ustalające kolejne działania na podstawie wyników. Ważne jest, aby po ustalonym okresie móc dokonać ponownej analizy ryzyka bez udziału np.: firmy doradczej, która zaoferowała nam swoje narzędzia, wykonała pierwszą analizę z nami.
Pamiętajmy, że to nam najbardziej zależy na ochronie aktywów, bo są nasze.